2020.03.31
安全なパスワードとはどのようなものなのでしょうか。
それを知るにはまずハッカーの手口を知ることが重要となります。不正ログインにおけるハッカーの攻撃方法は大きく「ブルートフォース攻撃」「辞書攻撃」の2つに分けられます。
ブルートフォース攻撃とはユーザーのパスワードを解読するために考えられる全てのパターンを試す方法のことで、辞書攻撃とは語学辞書や任意のリストから単語を片端から入力して試すということです。従ってこれら2つの攻撃方法のどちらにも対応したパスワードが安全なパスワードということになるでしょう。
まずはブルートフォース攻撃に対する対策を考えていきましょう。
これについては、使用する文字種や桁数を増やすことが、単純ですが最も効果的な対策となります。
下の図を見てください。
図の通り桁数や文字種を増やすほど組み合わせ数は指数関数的に増加し、総当りするまでに必要な時間も天文学的数字に増加していきます。
そのため、桁数や文字種を増やすことはブルートフォース攻撃に対する極めて有効な手段となります。
次に辞書攻撃に対する対策を考えていきましよう。辞書攻撃とは先程も述べたとおり任意の単語を片端から入力していき認証を突破できないか試していく方法です。そのため、固有名詞や辞書に載っている単語、よく使われる文字列(passwordや123456など)を使わないことが最も有効な手段と言えます。
ただ、全くランダムなパスワードを設定すると覚えにくいですよね。ではどのようにすればいいのでしょうか。
有名な例ですがaを@に、iを!に置き換えるなどの方法や、3つの単語(フレーズ)をスペースで繋ぐなどの方法が有効な対策となります。
以上より、安全なパスワードとは、
”辞書に載っている単語や固有名詞などだけで構成されておらず、使える文字種、桁数が多いパスワード”
と言えるでしょう。
それではなぜYoundoeのマスターパスワードが”13桁以上”の”英数記号”の”自由組み合わせ”なのか、をご説明します。
桁数を増やした方がブルートフォース攻撃に強いことはわかってもらえたと思います。
それでは、なぜ13桁なのか。
当社の試算によると、13桁で英字だけの組み合わせのパスワードでも、総当たりをするには数十億年もかかることがわかりました。(特殊なアルゴリズムにより、かなり性能の高いコンピュータでも試行回数を増やせないようにしています。)
また、Younodeは数字や記号の組み合わせを必ずしも強制はしていません。
それは数字や記号の使用を強制した条件でユーザーが作るパスワードは辞書攻撃に弱くなる傾向があるからです。このことはフロリダ州立大学の研究やカーネギーメロン大学とNIST(米国国立標準技術研究所)の研究によって示されています。
以上より、“複雑さの条件を厳しく課した桁数の少ないパスワード”より“複雑さの要件を課さない桁数の多いパスワード”のほうが強度の面やユーザビリティの面で優れていると言えるのです。
そのため、Younodeのマスターパスワードには、13桁以上で英数記号自由組み合わせのものが設定できるようになっています。